سیاست ردیابی جدید گوگل: تحول در حریم خصوصی کاربران

ردیابی جدید گوگل
خوشم اومد 0
خوشم نیومد 0

سیاست ردیابی جدید گوگل، که به عنوان یک تغییر بزرگ در فناوری‌های ردیابی شناخته می‌شود، اثر انگشت دیجیتالی را در بین دستگاه‌ها معرفی کرده است. این اقدام نگرانی‌های زیادی را در مورد حریم خصوصی کاربران ایجاد کرده است. در حالی که گوگل این تغییرات را گامی به سوی بهبود حریم خصوصی می‌داند، منتقدان باور دارند که این سیاست جدید کنترل و شفافیت کاربران را محدود می‌کند و پیامدهای اخلاقی و قانونی قابل توجهی به همراه دارد.

اثر انگشت دیجیتالی گوگل: چه تغییری برای شما ایجاد می‌کند؟

گوگل دوباره در مرکز بحث‌های داغ حریم خصوصی، شفافیت و ردیابی دیجیتال قرار گرفته است. این غول فناوری، تغییراتی را در سیستم تبلیغاتی خود اعلام کرده است. این تغییرات، حرکتی قابل توجه از کوکی‌ها به سمت اثر انگشت دیجیتالی در دستگاه‌های مختلف را نشان می‌دهد. گوگل می‌گوید این تغییرات برای بهبود حریم خصوصی و هماهنگی با فناوری‌های جدید است. اما منتقدان و نهادهای نظارتی نگرانند. آنها در مورد پیامدهای این تغییرات برای کنترل و شفافیت کاربر هشدار می‌دهند.

اثر انگشت دیجیتالی چیست؟

اثر انگشت دیجیتالی، تحلیل مجموعه‌ای از اطلاعات است. این اطلاعات شامل نوع دستگاه، آدرس IP، جزئیات مرورگر و نحوه‌ی استفاده از برنامه‌ها می‌شود. با این اطلاعات، یک شناسه‌ی منحصر به فرد برای هر کاربر ساخته می‌شود. برخلاف کوکی‌ها که کاربران می‌توانند آنها را پاک یا مسدود کنند، تشخیص و حذف اثر انگشت دیجیتالی بسیار دشوار است. مدافعان حریم خصوصی و نهادهای نظارتی از این موضوع انتقاد می‌کنند. آنها می‌گویند این روش، انتخاب کاربر را محدود می‌کند. همچنین کنترل نحوه‌ی جمع‌آوری داده‌ها را برای کاربران تقریباً غیرممکن می‌کند.

گوگل قبلاً اثر انگشت دیجیتالی را “اشتباه” می‌دانست. آنها می‌گفتند که این روش “انتخاب کاربر را از بین می‌برد”. حالا گوگل می‌گوید پیشرفت فناوری‌های افزایش حریم خصوصی (PETs) اجازه می‌دهد از این روش به صورت مسئولانه استفاده شود. به گفته‌ی گوگل، PETها به تبلیغ‌کنندگان اجازه می‌دهند داده‌ها را با امنیت مدیریت و استفاده کنند. همزمان حریم خصوصی کاربران نیز حفظ می‌شود. با این حال، بعضی‌ها نگرانند که این ادعاها، خطرات یک سیستم ردیابی غیرشفاف و دستکاری‌شده را پنهان کند.

چرا گوگل این کار را می‌کند؟

تغییر به سمت اثر انگشت دیجیتالی در زمانه‌ی تغییرات در نحوه‌ی تعامل کاربران با پلتفرم‌های دیجیتال اتفاق می‌افتد. استفاده از اینترنت به تلویزیون‌های هوشمند، کنسول‌های بازی و سایر دستگاه‌های متصل گسترش یافته است. گوگل می‌گوید باید سیاست‌های خود را با این روندها هماهنگ کند. از ۱۶ فوریه ۲۰۲۴، گوگل به شرکای تبلیغاتی خود امکانات بیشتری برای هدف‌گیری و اندازه‌گیری تبلیغات در این دستگاه‌های مختلف می‌دهد.

گوگل می‌گوید این تغییر، نیازهای تبلیغ‌کنندگان را برآورده می‌کند. در عین حال “حفاظت‌های حریم خصوصی مورد انتظار” را برای کاربران فراهم می‌کند. به عنوان مثال، کسب‌وکارهایی که از پلتفرم‌های تلویزیون متصل (CTV) – یک کانال تبلیغاتی رو به رشد – استفاده می‌کنند، به ابزارهایی برای ارتباط با مخاطبان هدف و سنجش اثربخشی کمپین‌های خود نیاز دارند. گوگل می‌گوید اثر انگشت دیجیتالی، راه‌حلی برای این اکوسیستم پراکنده است.

نگرانی‌های نظارتی و چالش‌های اخلاقی

نهادهای نظارتی قانع نشده‌اند. دفتر کمیسر اطلاعات بریتانیا (ICO) به صراحت از اثر انگشت دیجیتالی انتقاد کرده و آن را ناعادلانه و احتمالاً غیرقانونی می‌داند. به گفته‌ی ICO، اثر انگشت دیجیتالی، توانایی کاربران برای کنترل داده‌های شخصی خود را کاهش می‌دهد، چون از روش‌های سنتی مثل بنرهای رضایت یا پاکسازی کوکی‌ها عبور می‌کند. این عدم شفافیت، سؤالات اخلاقی و قانونی درباره‌ی تعادل بین نوآوری تبلیغاتی و حقوق کاربر ایجاد می‌کند.

ICO به کسب‌وکارها هشدار داده است که از اثر انگشت دیجیتالی به عنوان جایگزین کوکی‌های شخص ثالث استفاده نکنند. ICO تأکید می‌کند که هرگونه استفاده از اثر انگشت دیجیتالی باید با قوانین شفافیت و پاسخگویی مطابقت داشته باشد. این نهاد نظارتی هشدار می‌دهد که عدم رعایت این موارد، منجر به پیگرد قانونی خواهد شد.

پیامدها برای کروم و اکوسیستم گوگل

این تغییر سیاست در زمانه‌ی دشواری برای گوگل اتفاق می‌افتد. وزارت دادگستری ایالات متحده (DOJ) گوگل را به انحصار در جستجوی آنلاین متهم کرده است. این اتهام، به دلیل قراردادهای گوگل با شرکت‌هایی مانند اپل و سامسونگ است. برای پاسخ به این اتهامات، گوگل تغییراتی را در قراردادهای خود با توسعه‌دهندگان مرورگر و تولیدکنندگان دستگاه پیشنهاد داده است. این تغییرات، امکان انتخاب موتورهای جستجوی پیش‌فرض دیگری را فراهم می‌کند.

این مناقشات ضدانحصار ممکن است بر تصمیم گوگل برای گسترش ردیابی فراتر از کروم، که مدت‌ها هدف انتقاد بوده است، تأثیر گذاشته باشد. با گسترش ردیابی به دستگاه‌ها و پلتفرم‌های دیگر، گوگل می‌تواند تأثیر اقدامات نظارتی احتمالی، مانند جداسازی اجباری کروم، را کاهش دهد.

این تغییرات چه معنایی برای کاربران دارد؟

برای کاربران عادی اینترنت، اثر انگشت دیجیتالی، سؤالات مهمی در مورد حریم خصوصی و کنترل ایجاد می‌کند. در حالی که کوکی‌ها قابل مشاهده و مدیریت هستند – به لطف پنجره‌های بازشو و حالت‌های مرور خصوصی – اثر انگشت دیجیتالی پنهانی عمل می‌کند. تشخیص، مسدود کردن یا پاک کردن آن دشوار است. بنابراین گزینه‌های کمتری برای حفاظت از داده‌های خود در اختیار کاربران قرار می‌دهد.

گوگل می‌گوید می‌تواند محافظت‌هایی را در اثر انگشت دیجیتالی قرار دهد تا از شناسایی مجدد کاربران جلوگیری کند. اما این اطمینان‌ها ممکن است نگرانی‌های در مورد شفافیت و پاسخگویی را برطرف نکند. منتقدان می‌گویند کاربران باید ابزارهای ساده‌ای برای ردیابی داشته باشند، نه اینکه با پیچیدگی‌های فنی مواجه شوند.

نگاهی به آینده: آینده‌ی تبلیغات دیجیتال

با تکامل تبلیغات دیجیتال، تنش‌ها بین نوآوری و حریم خصوصی احتمالاً بیشتر خواهد شد. تلاش گوگل برای استفاده از اثر انگشت دیجیتالی، نشان‌دهنده‌ی اتکای صنعت به فناوری‌های ردیابی پیشرفته برای حفظ سودآوری در یک بازار رقابتی است. در عین حال، نهادهای نظارتی و مدافعان حریم خصوصی خواستار حفاظت‌های قوی‌تر برای حقوق کاربر هستند.

در حال حاضر، بهترین کار برای کاربران آگاهی است: از نحوه‌ی استفاده از داده‌های خود مطلع باشید، ابزارها و تنظیمات حریم خصوصی را بررسی کنید و از شفافیت شرکت‌های فناوری حمایت کنید.

در نهایت، این بحث یک چالش اساسی در عصر دیجیتال را نشان می‌دهد: هماهنگی پیشرفت تکنولوژیکی با مسئولیت اخلاقی. اینکه رویکرد جدید گوگل به این تعادل می‌رسد یا نه، باید منتظر بمانیم و ببینیم.

اگر به خواندن کامل این مطلب علاقه‌مندید، روی لینک مقابل کلیک کنید: forbes

خوشم اومد 0
خوشم نیومد 0

موضوع مورد علاقه خود را انتخاب کنید:

| | |

انقلاب جیمیل گوگل: چگونه امنیت ایمیل در سال ۲۰۲۵ متحول می‌شود

امنیت ایمیل در سال ۲۰۲۵
خوشم اومد 0
خوشم نیومد 0

ببینید چرا امنیت ایمیل در سال ۲۰۲۵ برای ۲.۵ میلیارد کاربر جیمیل اهمیت ویژه‌ای دارد. با افزایش تهدیدهای هوش مصنوعی، راهکارهای جدید گوگل، سطح ایمنی ایمیل‌ها را به شکلی بی‌سابقه ارتقا می‌دهند.

ایمیل در ۲۰۲۵: عصر جدید امنیت و دگرگونی

ایمیل، پایه و اساس ارتباطات امروزی، مدام مورد حمله قرار می‌گیرد. گوگل بیش از ۹۹.۹٪ هرزنامه‌ها، فیشینگ و بدافزارها را مسدود می‌کند. اما با وجود این تلاش‌ها، اف‌بی‌آی و متخصصان امنیت سایبری هشدار می‌دهند که با ظهور ابزارهای پیشرفته هوش مصنوعی، تهدیدها پیچیده‌تر می‌شوند. سال ۲۰۲۵ برای ۲.۵ میلیارد کاربر جیمیل، زمان مهمی برای ارزیابی مجدد روش‌های استفاده از ایمیل است. چرا که نوآوری‌های جدید، حفاظت پیشرفته‌ای را نوید می‌دهند، اما چالش‌های جدیدی را نیز ایجاد می‌کنند.

تکامل تهدیدات ایمیل

جیمیل مدت‌هاست که در امنیت ایمیل پیشرو است. این سرویس از مدل‌های زبانی بزرگ (LLM) برای مسدود کردن محتوای مخرب استفاده می‌کند. این ابزارهای هوش مصنوعی، تشخیص هرزنامه را ۲۰٪ بهبود داده‌اند. همچنین می‌توانند روزانه ۱۰۰۰ برابر بیشتر از هرزنامه‌های گزارش‌شده توسط کاربر را پردازش کنند. اما همین پیشرفت‌های هوش مصنوعی توسط مجرمان سایبری برای ساخت کلاهبرداری‌های شخصی‌سازی‌شده و فریبنده استفاده می‌شود. به گفته McAfee، این کلاهبرداری‌های تولیدشده توسط هوش مصنوعی، منابع مورد اعتماد مانند بانک‌ها، کارفرمایان یا حتی اعضای خانواده را جعل می‌کنند. این باعث می‌شود تشخیص آنها سخت‌تر و موفقیت آنها بیشتر شود.

مقیاس این مشکل نگران‌کننده است. طبق Mailmodo، تنها در ماه دسامبر، هرزنامه ۴۶.۸٪ از ترافیک ایمیل جهانی را تشکیل می‌داد. این آسیب‌پذیری مداوم به دلیل طراحی اولیه ایمیل است: هر کسی که آدرس ایمیل دارد می‌تواند به صندوق ورودی شما دسترسی پیدا کند. این آدرس‌ها اغلب به عنوان شناسه اصلی در کنار رمزهای عبور برای حساب‌های آنلاین استفاده می‌شوند. بنابراین به راحتی جمع‌آوری، افشا و مورد سوءاستفاده قرار می‌گیرند.

راهکارهای نوین در افق

برای رفع این آسیب‌پذیری‌ها، شرکت‌ها در حال معرفی ابزارهای انقلابی هستند. هدف بازگرداندن امنیت به ایمیل است. ویژگی “Hide My Email” اپل به کاربران اجازه می‌دهد نام‌های مستعار ایمیل منحصر به فرد و تصادفی ایجاد کنند. این نام‌های مستعار به حساب اصلی آنها ارسال می‌شوند. این کار آدرس‌های ایمیل واقعی را خصوصی نگه می‌دارد و دریافت هرزنامه را کاهش می‌دهد. گوگل نیز در حال توسعه راهکاری مشابه برای جیمیل به نام “Shielded Email” است. این ویژگی کاربران را قادر می‌سازد نام‌های مستعار یکبار مصرف یا با کاربرد محدود ایجاد کنند.

این ابزارها گام مهمی در حفاظت از اطلاعات شخصی هستند. اما چالش‌هایی را نیز برای بازاریابان ایجاد می‌کنند. زیرا آدرس‌های ایمیل یکبار مصرف می‌توانند تعامل را کاهش دهند و باعث افزایش حساب‌های غیرفعال در پایگاه‌های داده شوند.

چرا یک آدرس ایمیل جدید مهم است

حتی با وجود فناوری‌های پوشاندن پیشرفته مانند Hide My Email و Shielded Email، اگر آدرس ایمیل اصلی شما قبلاً به خطر افتاده باشد، تاثیر این ابزارها کم می‌شود. سال‌ها قرار گرفتن در معرض خطر می‌تواند یک آدرس ایمیل قدیمی را به “تله‌ای” برای هرزنامه و تهدیدات سایبری تبدیل کند. انتقال به یک آدرس ایمیل جدید و خوب محافظت‌شده در سال ۲۰۲۵ می‌تواند تغییر بزرگی ایجاد کند. این کار به کاربران اجازه می‌دهد از ویژگی‌های امنیتی مدرن استفاده کنند و همزمان خطرات را به حداقل برسانند.

برای مدیریت این انتقال، کاربران می‌توانند از این روش‌ها استفاده کنند:
– انتقال تدریجی ارتباطات مهم به آدرس جدید.
– استفاده از پوشه‌ها، قوانین و ارسال مجدد برای مرتب کردن ایمیل‌های حساب قدیمی.
– استفاده از نام‌های مستعار موقت برای فرم‌های آنلاین و اشتراک‌ها.

نقش هوش مصنوعی روی دستگاه

فناوری‌های غربالگری مرکزی همچنان ضروری هستند. اما آینده امنیت ایمیل در هوش مصنوعی روی دستگاه نهفته است. این ابزارها با تجزیه و تحلیل پیام‌های دریافتی به صورت محلی، می‌توانند هرزنامه‌ها و ایمیل‌های مخربی را که از فیلترهای سمت سرور عبور می‌کنند، شناسایی کنند. این رویکرد، پیشرفت‌ها در مرور ایمن و دفاع در برابر بدافزارها را منعکس می‌کند. در این موارد، هوش مصنوعی سطح دستگاه یک لایه حفاظتی اضافی ارائه می‌دهد.

برای مثال، سیستم‌های ایمیل فعلی اغلب نمی‌توانند تفاوت بین آدرس فرستنده واقعی و نام نمایش داده شده را تشخیص دهند. هوش مصنوعی بهبودیافته می‌تواند چنین ناسازگاری‌هایی را بهتر شناسایی کند و از تلاش‌های فیشینگ که نهادهای مورد اعتماد مانند “پشتیبانی اپل” یا “تأیید X” را جعل می‌کنند، جلوگیری کند.

بازنگری معماری ایمیل

مشکل بزرگتر در معماری قدیمی ایمیل است. برخلاف پلتفرم‌های پیام‌رسانی ایمن مانند WhatsApp یا Slack، ایمیل مکانیسم‌های قوی برای تأیید فرستنده و ارتباط انتخابی ندارد. یک بازنگری اساسی لازم است. بازنگری‌ای که حریم خصوصی، سهولت استفاده و سادگی را بدون کاهش سازگاری در اولویت قرار دهد.

پلتفرم “Xmail” پیشنهادی ایلان ماسک نمونه‌ای از این آینده است: ترکیب جهانی بودن ایمیل با سادگی برنامه‌های پیام‌رسان. اما چنین انتقالی پیچیده است و بعید است که به زودی به طور گسترده پذیرفته شود.

مشابه با پیام‌رسانی RCS

چالش‌های پیش روی جیمیل در دنیای پیام‌رسانی RCS (خدمات ارتباطی غنی) هم دیده می‌شود. مانند ایمیل، RCS به هر کسی که شماره تلفن دارد اجازه ارسال پیام می‌دهد. این باعث افزایش هرزنامه می‌شود. Juniper Research پیش‌بینی می‌کند که ترافیک پیام‌رسانی تجاری RCS از ۳۳ میلیارد پیام در سال ۲۰۲۴ به ۵۰ میلیارد در سال ۲۰۲۵ افزایش یابد. این تلاش‌های فیلتر کردن هرزنامه را پیچیده‌تر می‌کند.

پلتفرم‌هایی مانند WhatsApp می‌توانند هرزنامه را از طریق کنترل‌های متمرکز مدیریت کنند. اما RCS همچنان یک پروتکل غیرمتمرکز با نظارت محدود است. این نیاز به راهکارهای نوین front-end، مشابه آنهایی که برای ایمیل توسعه داده می‌شوند را نشان می‌دهد.

کنترل را در سال ۲۰۲۵ به دست بگیرید

تهدیدات سایبری مدام در حال تکامل هستند. بنابراین کاربران باید به طور فعال از هویت دیجیتال خود محافظت کنند. استفاده از فناوری‌های جدید مانند Shielded Email یا Hide My Email اولین گام مهم است. همچنین، ایجاد یک آدرس ایمیل جدید فرصتی برای اجرای بهترین روش‌ها فراهم می‌کند:
– از نام‌های مستعار یکبار مصرف برای ارتباطات غیر ضروری استفاده کنید.
– رمزهای عبور را مرتب به‌روز کنید و احراز هویت دو مرحله‌ای را فعال کنید.
– صندوق ورودی خود را برای فعالیت‌های مشکوک بررسی کنید و تلاش‌های فیشینگ را گزارش دهید.

با پذیرش این تغییرات، کاربران می‌توانند خطرات را کاهش دهند و با تغییرات امنیت ایمیل هماهنگ شوند. با نزدیک شدن به سال ۲۰۲۵، اکنون زمان آن رسیده است که در مورد نحوه استفاده و محافظت از صندوق‌های ورودی خود دوباره فکر کنیم.

اگر به خواندن کامل این مطلب علاقه‌مندید، روی لینک مقابل کلیک کنید: forbes

خوشم اومد 0
خوشم نیومد 0

موضوع مورد علاقه خود را انتخاب کنید:

| | |

تکامل تهدیدهای سایبری: نقش باج‌افزار LockBit در خسارت‌های جهانی

باج‌افزار LockBit
خوشم اومد 0
خوشم نیومد 0

روسیه و اسرائیل به دلیل نقشی که در توسعه باج‌افزار LockBit ایفا کرده‌اند، در ایالات متحده متهم شده‌اند. این باج‌افزار که مسئول میلیاردها دلار خسارت در سراسر جهان است، علی‌رغم دستگیری‌ها و اقدامات علیه آن، همچنان به تکامل خود ادامه می‌دهد و تهدیدهای مداومی ایجاد می‌کند.

دستگیری روستیслав پانف: گامی مهم در مبارزه با جرایم سایبری

روستیслав پانف، دارای تابعیت دوگانه روسیه و اسرائیل، توسط مقامات آمریکایی متهم شده است. جرم او نقش کلیدی در توسعه و گسترش باج‌افزار LockBit است. این باج‌افزار به عنوان یک سرویس (RaaS) ارائه می‌شد و خسارات میلیاردی در سراسر جهان به بار آورده است. هزاران سازمان، از کسب‌وکارهای کوچک گرفته تا بیمارستان‌ها، مدارس و حتی سازمان‌های دولتی، قربانی حملات این گروه شده‌اند. پانف ۵۱ ساله، در آگوست ۲۰۲۴ در اسرائیل دستگیر و در انتظار استرداد به ایالات متحده است.

دامنه‌ی جهانی فعالیت LockBit

LockBit از زمان ظهور خود در حدود سال ۲۰۱۹، به یکی از فعال‌ترین گروه‌های باج‌افزاری تبدیل شده است. تا فوریه ۲۰۲۴، حملات این گروه میلیاردها دلار خسارت در حداقل ۱۲۰ کشور، از جمله بیش از ۱۸۰۰ حمله فقط در ایالات متحده، به بار آورده است. LockBit با استفاده از مدل RaaS به همدستان خود امکان راه‌اندازی حملات باج‌افزاری پیچیده را می‌داد. قربانیان این حملات طیف وسیعی از افراد تا شرکت‌های چند ملیتی را در بر می‌گرفتند و بخش‌هایی مانند بهداشت و درمان، آموزش، زیرساخت‌های حیاتی و سازمان‌های انتظامی را هدف قرار می‌دادند.

اسناد دادگاه نشان می‌دهد که پانف نقش مهمی در عملیات فنی این گروه داشته است. در رایانه او اطلاعات ورود به مخزن وب تاریک LockBit و کد منبع نسخه‌های مختلف باج‌افزار کشف شده است. او همچنین به پنل کنترل گروه و ابزاری برای استخراج اطلاعات به نام StealBit دسترسی داشته است. این ابزارها برای سرقت اطلاعات حساس قبل از رمزگذاری اطلاعات توسط باج‌افزار استفاده می‌شدند.

نقش پانف در عملیات LockBit

گزارش‌ها حاکی از آن است که پانف بین ژوئن ۲۰۲۲ تا فوریه ۲۰۲۴ حدود ۲۳۰،۰۰۰ دلار از طریق پرداخت‌های ارز دیجیتال دریافت کرده است. او به مقامات اسرائیلی اعتراف کرده که خدمات کدنویسی، مشاوره و پشتیبانی فنی برای LockBit ارائه می‌داده است. فعالیت‌های او شامل موارد زیر بوده است:
– نوشتن کد برای غیرفعال کردن آنتی‌ویروس‌ها.
– اجرای باج‌افزار در شبکه‌های قربانیان.
– چاپ پیام‌های باج‌خواهی بر روی تمام چاپگرهای متصل به سیستم‌های آلوده.

پانف همچنین با دیمیتری یوریویچ خروشف، معروف به “LockBitSupp”، در مورد مسائل فنی توسعه باج‌افزار و سیستم‌های کنترل پیام، تبادل اطلاعات داشته است.

عملیات بین‌المللی علیه LockBit

عملیات بین‌المللی “Cronos” در فوریه ۲۰۲۴ منجر به توقیف زیرساخت‌های LockBit شد. این ضربه بزرگی به این گروه بود که حداقل ۵۰۰ میلیون دلار سود غیرقانونی کسب کرده بود. دستگیری پانف به فهرست رو به رشد اعضای دستگیر یا متهم شده LockBit در سال‌های اخیر، از جمله میخائیل واسیلیف، روسلان استامیروف و دیگران، اضافه می‌شود.

با وجود این شکست‌ها، به نظر می‌رسد LockBit هنوز فعال است. گزارش‌ها نشان می‌دهد که این گروه در حال آماده‌سازی نسخه جدید باج‌افزار خود، LockBit 4.0 است که قرار است در فوریه ۲۰۲۵ منتشر شود. موفقیت این گروه در رویارویی با چالش‌های حقوقی و عملیاتی پیش رو، هنوز مشخص نیست.

اقدامات گسترده‌تر علیه جرایم سایبری

پرونده پانف بخشی از تلاش‌های جهانی برای مبارزه با جرایم سایبری است. در ماه‌های اخیر شاهد محکومیت‌های مهمی بوده‌ایم:

محکومیت همدست NetWalker به ۲۰ سال زندان

دانیل کریستین هولیا، همدست رومانیایی گروه باج‌افزار NetWalker، به ۲۰ سال زندان محکوم شد. NetWalker در دوران همه‌گیری کرونا، مراکز درمانی را هدف قرار داده بود و در سال ۲۰۲۱ توسط مقامات منحل شد. هولیا اعتراف کرد که حدود ۱۵۹۵ بیت کوین (معادل ۲۱.۵ میلیون دلار) از طریق فعالیت‌های مجرمانه خود به دست آورده است.

محکومیت توسعه‌دهنده Raccoon Stealer

مارک سوکولوفسکی، شهروند اوکراینی و توسعه‌دهنده بدافزار Raccoon Stealer (به عنوان یک سرویس: MaaS) به پنج سال زندان محکوم شد. این بدافزار توسط مجرمان سایبری برای سرقت اطلاعات حساس و انجام جرایم مالی استفاده می‌شد. پلیس فدرال آمریکا وب‌سایتی برای قربانیان ایجاد کرده تا بررسی کنند که آیا اطلاعات آنها در جریان فعالیت Raccoon Stealer به سرقت رفته است یا خیر.

محکومیت مرد نیویورکی به جرم کلاهبرداری با کارت اعتباری

ویتالی آنتوننکو، ساکن نیویورک، به دلیل نقشش در طرحی که از حملات تزریق SQL برای سرقت اطلاعات کارت‌های اعتباری استفاده می‌کرد، محکوم شد. او پول‌های به دست آمده را از طریق بیت کوین و روش‌های سنتی پولشویی می‌کرد. آنتوننکو که در سال ۲۰۱۹ دستگیر شده بود، در سپتامبر ۲۰۲۴ به اتهامات توطئه اقرار کرد.

مبارزه بی‌وقفه با جرایم سایبری

دستگیری و محکومیت افرادی مانند پانف، اهمیت همکاری‌های بین‌المللی برای مبارزه موثر با جرایم سایبری را نشان می‌دهد. در حالی که گروه‌هایی مانند LockBit و NetWalker با اختلالات جدی مواجه شده‌اند، تداوم فعالیت آنها نشان‌دهنده ماهیت متغیر تهدیدات آنلاین است. با توجه به تطبیق و نوآوری گروه‌های باج‌افزاری، سازمان‌های انتظامی در سراسر جهان باید برای حفاظت از افراد، کسب‌وکارها و زیرساخت‌های حیاتی، همواره یک گام جلوتر باشند.

اگر به خواندن کامل این مطلب علاقه‌مندید، روی لینک مقابل کلیک کنید: the hacker news

خوشم اومد 0
خوشم نیومد 0

موضوع مورد علاقه خود را انتخاب کنید:

| | | |

هکرها با سوءاستفاده از آسیب‌پذیری CVE-2023-48788 در Fortinet EMS، ابزارهای دسترسی از راه دور را نصب می‌کنند

آسیب‌پذیری CVE-2023-48788 در Fortinet EMS
خوشم اومد 0
خوشم نیومد 0

یک آسیب‌پذیری خطرناک با شناسه CVE-2023-48788 در Fortinet FortiClient EMS توسط مجرمان سایبری مورد سوءاستفاده قرار می‌گیرد. این آسیب‌پذیری که از نوع تزریق SQL است و امتیاز خطر ۹.۳ دارد، به مهاجمان اجازه می‌دهد دستورات دلخواه خود را اجرا کنند. آن‌ها از طریق این نقص امنیتی ابزارهایی مانند AnyDesk و ScreenConnect را روی سیستم‌های قربانی نصب می‌کنند. همچنین، این مشکل می‌تواند به مهاجمان دسترسی به بخش‌های دیگر شبکه و سرقت اطلاعات ورود کاربران را فراهم کند.

مجرمان سایبری با استفاده از تزریق SQL، FortiClient EMS را هدف قرار می‌دهند

یک نقص امنیتی بسیار جدی در Fortinet FortiClient EMS با شناسه CVE-2023-48788 کشف شده است. هکرها در یک حمله سایبری گسترده از این نقص سوءاستفاده می‌کنند. این آسیب‌پذیری با امتیاز خطر CVSS 9.3 ارزیابی شده است. این نقص از نوع تزریق SQL است. مهاجمان با ارسال بسته‌های اطلاعاتی خاص، می‌توانند دستورات یا کدهای مخرب را اجرا کنند. شرکت فورتینت این مشکل را برطرف کرده است. با این وجود، سیستم‌هایی که به‌روزرسانی نشده‌اند، همچنان در معرض خطر هستند.

روش‌های مشاهده شده‌ی سوءاستفاده

شرکت امنیت سایبری روسی کسپرسکی این حمله را برای اولین بار در اکتبر ۲۰۲۴ شناسایی کرد. آن‌ها حمله به سرور ویندوز یک شرکت را بررسی کردند. این سیستم، پورت‌های مربوط به FortiClient EMS را به سمت اینترنت باز گذاشته بود. همین موضوع باعث آسیب‌پذیری سیستم شده بود.

گزارش‌ها نشان می‌دهد که مهاجمان از CVE-2023-48788 به عنوان راه نفوذ اولیه استفاده کرده‌اند. آن‌ها ابزارهایی مانند ScreenConnect را برای دسترسی از راه دور به سیستم قربانی نصب کرده‌اند. پس از ورود به سیستم، مهاجمان فایل‌های مخرب بیشتری را آپلود و اجرا می‌کنند. هدف آن‌ها شناسایی سیستم، دسترسی به بخش‌های دیگر شبکه و باقی ماندن در سیستم است.

ابزارهای اصلی استفاده شده در این حمله:

  • AnyDesk: ابزاری برای دسترسی و کنترل از راه دور و باقی ماندن در سیستم.
  • ScreenConnect: ابزار دیگری برای دسترسی از راه دور و حفظ کنترل بر سیستم‌های آلوده.
  • webbrowserpassview.exe: ابزاری برای سرقت کلمات عبور ذخیره شده در مرورگر.
  • Mimikatz: ابزاری شناخته شده برای جمع‌آوری اطلاعات ورود کاربران.
  • netpass64.exe: ابزاری برای بازیابی رمز عبور.
  • netscan.exe: ابزاری برای اسکن شبکه و شناسایی سیستم‌ها.

این ابزارها به مهاجمان اجازه می‌دهند تا منابع شبکه را بررسی کنند، اطلاعات ورود کاربران را سرقت کنند و از شناسایی شدن جلوگیری کنند.

تأثیر و اهداف جهانی

به نظر می‌رسد این حمله بسیار سازماندهی شده است. مهاجمان شرکت‌هایی را در کشورهای مختلف، از جمله برزیل، هند، فرانسه، ترکیه، سوئیس و امارات متحده عربی هدف قرار داده‌اند. آن‌ها از زیر دامنه‌های مختلف ScreenConnect (برای مثال، infinity.screenconnect[.]com) برای مدیریت عملیات و پنهان کردن ردپای خود استفاده کرده‌اند.

سوءاستفاده‌های بیشتر شناسایی شد

در ۲۳ اکتبر ۲۰۲۴، کاسپرسکی موج دوم تلاش‌ها برای سوءاستفاده از همان آسیب‌پذیری را شناسایی کرد. این بار، مهاجمان یک اسکریپت پاورشل (PowerShell) را از طریق یک دامنه مخرب (webhook[.]site) اجرا می‌کردند. هدف آن‌ها جمع‌آوری اطلاعات از سیستم‌های آسیب‌پذیر در حین اسکن بود.

حملات قبلی، تاکتیک‌های مشابهی را نشان می‌دهند

جالب است که این اولین بار نیست که از CVE-2023-48788 سوءاستفاده می‌شود. پیش از این، شرکت امنیت سایبری Forescout حمله مشابهی را کشف کرده بود. در آن حمله نیز از همین آسیب‌پذیری برای نصب Metasploit Powerfun و ScreenConnect استفاده شده بود. این موارد، پیچیدگی و تغییر مداوم روش‌های مهاجمان را نشان می‌دهد.

نکات کلیدی برای شرکت‌ها

سوءاستفاده از CVE-2023-48788 نشان می‌دهد که به‌روزرسانی به‌موقع سیستم‌ها و رعایت اصول امنیتی قوی چقدر اهمیت دارد. آسیب‌پذیری‌ها در نرم‌افزارهای پرکاربرد سازمانی مانند Fortinet FortiClient EMS می‌توانند راه نفوذ برای حملات پیچیده‌ای باشند که خسارات زیادی به بار می‌آورند.

اقدامات عملی:

  1. سیستم‌ها را فوراً به‌روزرسانی کنید: مطمئن شوید که تمام محصولات فورتینت با آخرین به‌روزرسانی‌های امنیتی به‌روز شده‌اند تا آسیب‌پذیری‌های شناخته شده برطرف شوند.
  2. پورت‌های باز را بررسی کنید: به طور منظم سیستم‌های متصل به اینترنت را بررسی کنید تا پورت‌های باز که می‌توانند راه نفوذ باشند، شناسایی و امن شوند.
  3. از سیستم‌های حفاظتی استفاده کنید: از ابزارهای امنیتی پیشرفته برای شناسایی و مسدود کردن ابزارهای مخرب مانند Mimikatz و ScreenConnect استفاده کنید.
  4. ارزیابی‌های امنیتی منظم انجام دهید: تست نفوذ منظم می‌تواند آسیب‌پذیری‌ها را قبل از سوءاستفاده مهاجمان شناسایی و برطرف کند.

کاربران فورتینت باید سریعاً برای ایمن‌سازی سیستم‌های خود اقدام کنند. آن‌ها باید هرگونه نشانه‌ای از سوءاستفاده را بررسی کنند تا از حملات بعدی جلوگیری شود. از آنجایی که مهاجمان همواره روش‌های خود را تغییر می‌دهند، هوشیاری و آمادگی برای حفاظت از شبکه‌های سازمانی ضروری است.

اگر به خواندن کامل این مطلب علاقه‌مندید، روی لینک مقابل کلیک کنید: the hacker news

خوشم اومد 0
خوشم نیومد 0

موضوع مورد علاقه خود را انتخاب کنید:

| |

نگاهی نو به کلاهبرداری عاشقانه آنلاین و روش‌های مقابله با آن

کلاهبرداری عاشقانه آنلاین
خوشم اومد 1
خوشم نیومد 0

اینترپل پیشنهاد می‌دهد به جای اصطلاح «pig butchering» از «کلاهبرداری عاشقانه آنلاین» برای توصیف کلاهبرداری‌هایی که بر روابط عاشقانه‌ی ساختگی مبتنی هستند و به سرمایه‌گذاری‌های کلاهبردارانه منجر می‌شوند، استفاده شود. این تغییر با هدف حذف انگ از قربانیان و تمرکز بیشتر بر مجرمان انجام شده است. با این رویکرد، همدلی با قربانیان افزایش یافته و آن‌ها برای افشای این جرائم تشویق می‌شوند.

اینترپل از «Romance Baiting» برای مقابله با کلاهبرداری‌های آنلاین حمایت می‌کند

اینترپل می‌خواهد نحوه‌ی صحبت درباره‌ی کلاهبرداری‌های آنلاین تغییر کند. به همین دلیل، پیشنهاد می‌دهد به جای اصطلاح بحث‌برانگیز و غیرانسانی «pig butchering»، از «romance baiting» استفاده شود. این تغییر زبانی، دستکاری‌های روانی کلاهبرداران را آشکار می‌کند. همچنین، به قربانیان احترام گذاشته و آن‌ها را تشویق می‌کند بدون ترس از سرزنش یا شرم، کمک بگیرند.

مشکل «Pig Butchering» چیست؟

اصطلاح «pig butchering» از عبارت چینی «杀猪盘» (“shā zhū pán”) گرفته شده است. این عبارت، قربانیان کلاهبرداری را به خوک‌هایی تشبیه می‌کند که برای کشتار پروار می‌شوند. این عبارت، روند کلاهبرداری را توصیف می‌کند که در آن کلاهبرداران به تدریج اعتماد قربانیان را جلب کرده و سپس از آن‌ها سوءاستفاده می‌کنند. اما به دلیل خشونت‌آمیز بودن، مورد انتقاد قرار گرفته است. این اصطلاح باعث شرمساری قربانیان می‌شود. بسیاری از آن‌ها به همین دلیل از گزارش جرم یا درخواست کمک خودداری می‌کنند.

سیریل گوت، مدیر اجرایی موقت خدمات پلیس اینترپل، بر اهمیت زبان در شکل‌دهی افکار عمومی تأکید کرد. او گفت: «کلمات مهم هستند. زمان آن رسیده که زبانمان را تغییر دهیم تا احترام و همدلی با قربانیان در اولویت باشد و کلاهبرداران به خاطر جنایاتشان پاسخگو باشند.»

کلاهبرداری‌های Romance Baiting چگونه انجام می‌شوند؟

کلاهبرداری‌های romance baiting معمولاً در شبکه‌های اجتماعی یا اپلیکیشن‌های دوست‌یابی شروع می‌شوند. کلاهبرداران هویت‌های جعلی می‌سازند تا با قربانیان احتمالی ارتباط برقرار کنند. آن‌ها به تدریج و اغلب با تظاهر به یک رابطه‌ی عاشقانه، اعتماد و ارتباط عاطفی ایجاد می‌کنند. وقتی قربانی از نظر عاطفی وابسته شد، کلاهبردار فرصت‌های سرمایه‌گذاری جعلی – معمولاً در ارزهای دیجیتال – را معرفی می‌کند. سپس قربانی را متقاعد می‌کند که پول خود را منتقل کند.

این کلاهبرداری‌ها بسیار پیچیده و دقیق اجرا می‌شوند. کلاهبرداران اغلب از اپلیکیشن‌ها و وب‌سایت‌های قانع‌کننده‌ای استفاده می‌کنند که شبیه پلتفرم‌های تجاری واقعی هستند. به همین دلیل، تشخیص کلاهبرداری برای قربانیان دشوار است و وقتی متوجه می‌شوند، دیگر خیلی دیر شده است. شرکت امنیت سایبری Sophos در تحلیل سال ۲۰۲۳ خود از کمپین‌های «CryptoRom» نشان داد که چگونه این کلاهبرداری‌ها از فناوری و نقاط ضعف انسانی سوءاستفاده می‌کنند.

ارتباط با جرایم سازمان‌یافته

کلاهبرداری‌های romance baiting حوادث جداگانه نیستند. بلکه اغلب با گروه‌های جرایم سازمان‌یافته‌ی بین‌المللی مرتبط هستند. بسیاری از این گروه‌ها در جنوب شرقی آسیا فعالیت می‌کنند. افراد با وعده‌ی شغل پردرآمد فریب خورده و به این گروه‌ها قاچاق می‌شوند. اما در عوض، در شرایط غیرانسانی قرار می‌گیرند و گذرنامه‌هایشان برای جلوگیری از فرار، ضبط می‌شود. سپس این افراد مجبور به انجام کلاهبرداری آنلاین می‌شوند و این چرخه‌ی استثمار ادامه پیدا می‌کند.

درخواست برای همدلی و پاسخگویی

اینترپل با استفاده از اصطلاح «romance baiting» می‌خواهد به جای سرزنش قربانی، مجرمان را پاسخگو بداند. این اصطلاح جدید، تاکتیک‌های روانی کلاهبرداران را تأیید می‌کند. همچنین با تلاش‌های اجتماعی گسترده‌تر برای استفاده از زبانی که به قربانیان آسیب‌های روحی – مانند خشونت خانگی یا تجاوز جنسی – احترام می‌گذارد، همسو است.

گوگل نیز برای رسیدگی به این موضوع اقداماتی انجام داده است. این شرکت از این کلاهبرداری‌ها با عنوان «طرح‌های بین‌المللی کلاهبرداری سرمایه‌گذاری آنلاین مصرف‌کننده» یاد می‌کند. گوگل در یک دعوی قضایی علیه دو توسعه‌دهنده‌ی اپلیکیشن چینی در آمریکا، مخالفت خود را با اصطلاح «pig butchering» اعلام کرد. این شرکت از حرکت به سمت زبانی همدلانه‌تر حمایت کرد.

تأثیر گسترده‌تر زبان

تلاش برای استفاده از اصطلاحات محترمانه‌تر، نشان‌دهنده‌ی اهمیت تأثیر زبان بر نگرش عمومی و رفتار قربانی است. همانطور که بیانیه‌ی اینترپل تأکید می‌کند، کلمات می‌توانند افراد را برای پیگیری عدالت توانمند کنند یا آن‌ها را به دلیل ترس از قضاوت، ساکت نگه دارند.

سازمان‌هایی مانند اینترپل با تغییر نحوه‌ی صحبت درباره‌ی کلاهبرداری‌های آنلاین، امیدوارند قربانیان بیشتری اطلاعات مهمی را که می‌تواند به نابودی این شبکه‌های جنایی کمک کند، ارائه دهند. این تغییر همچنین یادآوری می‌کند که مبارزه با جرایم سایبری نه تنها به راه‌حل‌های فنی، بلکه به تغییرات فرهنگی و زبانی که انسانیت را در اولویت قرار می‌دهند، نیاز دارد.

در نهایت، گذار از «pig butchering» به «romance baiting» به معنای ایجاد رویکردی دلسوزانه‌تر برای رسیدگی به کلاهبرداری‌های سایبری است. این گامی برای ایجاد محیطی است که در آن قربانیان احساس حمایت کنند و مجرمان به خاطر جنایاتشان پاسخگو باشند.

اگر به خواندن کامل این مطلب علاقه‌مندید، روی لینک مقابل کلیک کنید: the hacker news

خوشم اومد 1
خوشم نیومد 0

موضوع مورد علاقه خود را انتخاب کنید:

| | | |

APT29 از PyRDP برای بهره‌برداری از تنظیمات RDP در حملات پیچیده استفاده می‌کند

حملات APT29 با سوءاستفاده از RDP سرکش
خوشم اومد 1
خوشم نیومد 0

گروه سایبری APT29، که با نام Earth Koshchei نیز شناخته می‌شود، در حملات پیشرفته خود از ابزارهای تیم قرمز مانند PyRDP برای سوءاستفاده از تنظیمات RDP سرکش بهره می‌برد. این حملات، که معمولاً سازمان‌های دولتی، نظامی و دانشگاهی را هدف قرار می‌دهند، از طریق فیشینگ هدفمند فایل‌های RDP مخرب منتقل می‌شوند و امکان سرقت اطلاعات و نفوذ به سیستم‌ها را بدون نیاز به بدافزارهای خاص فراهم می‌کنند.

APT29 از RDP سرکش و PyRDP در عملیات جاسوسی سایبری بهره می‌برد

گروه APT29، یک گروه تهدید پیشرفته‌ی پایدار (APT) مرتبط با روسیه که با نام Earth Koshchei نیز شناخته می‌شود، در عملیات جاسوسی سایبری پیچیده‌ای دست دارد. کارشناسان امنیت سایبری در Trend Micro گزارش داده‌اند که APT29 تکنیکی قانونی از تیم قرمز، شامل سرورهای پروتکل دسکتاپ راه دور (RDP) سرکش، را تغییر کاربری داده است. این گروه از ابزارهای متن‌باز مانند PyRDP برای انجام حملات هدفمند، به‌ویژه علیه اهداف باارزش مانند نهادهای دولتی، سازمان‌های نظامی، اندیشکده‌ها و پژوهشگران دانشگاهی، استفاده می‌کند. نهادهای اوکراینی نیز به‌طور خاص هدف این عملیات قرار گرفته‌اند.

تکنیک RDP سرکش و سوءاستفاده از PyRDP

روش RDP سرکش مورد استفاده‌ی APT29 برگرفته از یک تکنیک تیم قرمز است که توسط Black Hills Information Security در سال ۲۰۲۲ معرفی شد. در اصل، این حمله شامل ایمیل‌های فیشینگ هدفمند حاوی فایل‌های پیکربندی RDP مخرب است. این فایل‌ها طوری طراحی شده‌اند که قربان را فریب داده و او را به برقراری ارتباط RDP با سرورهای تحت کنترل مهاجم ترغیب کنند. این سرورها از PyRDP، یک ابزار متن‌باز مبتنی بر پایتون و از نوع “مرد میانی” (Man-in-the-Middle)، برای رهگیری و دستکاری اتصالات RDP استفاده می‌کنند.

وقتی گیرندگان ناآگاه فایل مخرب RDP – با اسم رمز HUSTLECON – را اجرا می‌کنند، دستگاه‌هایشان اتصالات خروجی را به سرورهای رله‌ی PyRDP برقرار می‌کنند. این رله‌ها با تقلید از رفتار عادی RDP، ماهیت واقعی سرور تحت کنترل مهاجم را پنهان می‌کنند. پس از برقراری اتصال، مهاجمان کنترل نسبی سیستم قربانی را به دست می‌آورند و راه را برای استخراج داده‌ها، نصب بدافزار و سایر فعالیت‌های مخرب باز می‌کنند.

تحویل و مقیاس حمله پیچیده

آمادگی برای این عملیات ظاهراً از اوایل آگوست ۲۰۲۴ آغاز شده است و نهادهایی مانند CERT-UA، مایکروسافت و AWS به تلاش‌های عملیاتی آن اشاره کرده‌اند. مقیاس عملیات APT29 قابل توجه است. تخمین زده می‌شود که در یک روز، ۲۰۰ هدف سطح بالا تحت تأثیر قرار گرفته‌اند. ایمیل‌های فیشینگ هدفمند مورد استفاده در این طرح، به‌گونه‌ای طراحی شده‌اند که گیرندگان را به اجرای فایل‌های پیکربندی مخرب RDP فریب دهند. این امر به مهاجمان اجازه می‌دهد تا اتصالات را از طریق یکی از ۱۹۳ رله‌ی RDP خود هدایت کنند.

این روش حمله به‌طور ویژه موذیانه است زیرا مکانیسم‌های سنتی تشخیص بدافزار را دور می‌زند. APT29 با تکیه بر فایل‌های پیکربندی مخرب به جای بدافزار اختصاصی، ردپای عملیاتی خود و احتمال شناسایی شدن را کاهش می‌دهد.

ویژگی‌های کلیدی حمله

اثربخشی این عملیات به چند ویژگی متمایز آن نسبت داده می‌شود:

  • PyRDP به عنوان یک ابزار پروکسی: PyRDP با امکان رهگیری و دستکاری جلسات RDP، حمله را تقویت می‌کند. این ابزار به مهاجمان اجازه می‌دهد تا عملیات مربوط به فایل‌ها را انجام دهند، تنظیمات سیستم را تغییر دهند و بارهای مخرب را با حداقل ریسک شناسایی تزریق کنند.

  • استخراج داده‌ها از طریق درایوهای مشترک: PyRDP می‌تواند به‌طور خودکار داده‌ها را از درایوهای مشترک در طول جلسات RDP جمع‌آوری و استخراج کند. این محتویات به‌طور محلی در دستگاه مهاجم ذخیره می‌شوند و فرآیند استخراج را ساده می‌کنند.

  • Tor و لایه‌های ناشناس‌سازی: برای حفظ ناشناس بودن، APT29 از گره‌های خروجی Tor، شبکه‌های پروکسی مسکونی و سرویس‌های VPN تجاری استفاده می‌کند. این ابزارها منشأ سرورهای RDP آنها را پنهان می‌کنند و دسترسی به سرورهای ایمیل قانونی مورد استفاده برای عملیات فیشینگ هدفمند را آسان‌تر می‌کنند.

  • استقرار حداقل بدافزار: APT29 با استفاده از فایل‌های پیکربندی مخرب به جای بدافزار اختصاصی، از به‌جا گذاشتن ردپاهای قابل شناسایی در سیستم‌های آسیب‌دیده اجتناب می‌کند. این رویکرد پنهان‌کارانه، تلاش‌های شناسایی تیم‌های امنیت سایبری را پیچیده می‌کند.

پیامدهای گسترده‌تر و سازگاری

استفاده‌ی APT29 از تکنیک‌های RDP سرکش، توانایی آنها برای سازگاری و تکامل در طول زمان را نشان می‌دهد. این گروه نه تنها از آسیب‌پذیری‌های موجود سوءاستفاده می‌کند، بلکه روش‌ها و ابزارهای پیشرفته‌ای را که در ابتدا برای تمرین‌های اخلاقی تیم قرمز طراحی شده بودند، به‌کار می‌گیرد. تأکید آنها بر استفاده از ابزارهای قانونی مانند PyRDP، روند رو به رشد محو شدن مرز بین شیوه‌های امنیتی تهاجمی و سوءاستفاده‌ی مخرب را در میان بازیگران تهدید برجسته می‌کند.

این تاکتیک‌ها نشان‌دهنده‌ی یک استراتژی گسترده‌تر با هدف دستیابی به اهداف جاسوسی بلندمدت و در عین حال به حداقل رساندن ریسک شناسایی است. APT29 با تغییر کاربری ابزارها و روش‌های قانونی، از دفاع‌های سنتی امنیت سایبری پیشی می‌گیرد.

نتیجه‌گیری: نیاز به هوشیاری

عملیات APT29 نشان‌دهنده‌ی نبوغ بی‌امان بازیگران سایبری تحت حمایت دولت در سوءاستفاده از آسیب‌پذیری‌های فناوری و خطای انسانی است. سازمان‌ها باید هوشیار باشند، اقدامات امنیتی ایمیل قوی را اجرا کنند، آموزش‌های منظم برای افزایش آگاهی کارکنان در مورد فیشینگ برگزار کنند و فعالیت‌های شبکه را برای شناسایی نشانه‌های اتصالات RDP سرکش نظارت کنند. از آنجایی که بازیگران تهدید مانند APT29 به اصلاح تاکتیک‌های خود ادامه می‌دهند، اقدامات پیشگیرانه‌ی امنیت سایبری برای کاهش خطرات و حفاظت از اطلاعات حساس ضروری است.

اگر به خواندن کامل این مطلب علاقه‌مندید، روی لینک مقابل کلیک کنید: the hacker news

خوشم اومد 1
خوشم نیومد 0

موضوع مورد علاقه خود را انتخاب کنید:

| | |

افشای جاسوس‌افزار نووی‌اسپای و ابزارهای نظارتی پیشرفته

جاسوس‌افزار نووی‌اسپای و ابزارهای نظارتی
خوشم اومد 2
خوشم نیومد 0

گزارش جدید عفو بین‌الملل پرده از استفاده گسترده جاسوس‌افزار نووی‌اسپای (NoviSpy) و ابزارهای نظارتی مانند Cellebrite در هدف قرار دادن فعالان و روزنامه‌نگاران توسط مقامات صرب برداشته است. این افشاگری، خطرات گسترده فناوری‌های نظارتی پیشرفته را برجسته می‌کند و توجه به چالش‌های امنیتی روزافزون را ضروری می‌سازد.

جاسوس‌افزار نووی‌اسپای: فصل جدیدی در فناوری نظارت

گزارش تازه‌ای از عفو بین‌الملل، مورد تکان‌دهنده‌ای از جاسوسی را آشکار می‌کند. این جاسوسی با استفاده از نووی‌اسپای، یک جاسوس‌افزار ناشناخته، و ابزارهای Cellebrite انجام شده است. این حادثه، سوءاستفاده‌ی روزافزون از فناوری‌های مختلف برای نقض حریم خصوصی و هدف قرار دادن منتقدان دولت را نشان می‌دهد.

کشف نووی‌اسپای

در اوایل سال ۲۰۲۴، اسلاویشا میلانوف، روزنامه‌نگار صرب، درگیر ماجرای تکان‌دهنده‌ای شد. در جریان بازداشت او توسط پلیس صربستان، قفل تلفن همراهش با فناوری Cellebrite باز و سپس به جاسوس‌افزار نووی‌اسپای آلوده شد. نووی‌اسپای برای جمع‌آوری اطلاعات حساس طراحی شده است. این جاسوس‌افزار به مهاجمان اجازه می‌دهد به اطلاعات شخصی دسترسی پیدا کنند، میکروفون یا دوربین دستگاه را از راه دور فعال کنند و حتی از تمام فعالیت‌های تلفن، عکس بگیرند.

این جاسوس‌افزار از طریق دو برنامه عمل می‌کند:

  • NoviSpyAdmin (com.serv.services): این برنامه، گزارش تماس‌ها، پیامک‌ها، فهرست مخاطبین و صداهای ضبط شده توسط میکروفون را جمع‌آوری می‌کند.
  • NoviSpyAccess (com.accesibilityservice): این برنامه با سوءاستفاده از سرویس‌های دسترسی اندروید، مخفیانه از برنامه‌های پیام‌رسان مانند سیگنال و واتس‌اپ عکس می‌گیرد، فایل‌ها را استخراج و موقعیت مکانی را ردیابی می‌کند.

اهداف این جاسوس‌افزار علاوه بر میلانوف، شامل نیکولا ریشتیچ (فعال جوان)، ایوان میلوساولیویچ بوکی (فعّال محیط زیست) و یکی از اعضای Krokodil (سازمان مردم‌نهاد مستقر در بلگراد) نیز می‌شد. Krokodil بر تقویت گفتگو در بالکان غربی تمرکز دارد.

رویکرد دوگانه‌ی فناوری

نکته‌ی قابل توجه این ماجرا، ترکیب دو فناوری تهاجمی است: ابزارهای استخراج داده‌ی Cellebrite و قابلیت‌های نظارتی نووی‌اسپای. دستگاه استخراج قانونی جهانی Cellebrite (UFED) معمولاً توسط مجریان قانون برای باز کردن قفل تلفن‌ها و دسترسی به داده‌های ذخیره شده استفاده می‌شود. اما یافته‌های عفو بین‌الملل نشان می‌دهد که از این ابزار برای نصب نووی‌اسپای بر روی دستگاه‌های هدف سوءاستفاده شده است.

علاوه بر این، محققان یک آسیب‌پذیری روز-صفر در سرویس پردازنده‌ی سیگنال دیجیتال (DSP) کوالکام کشف کردند که توسط UFED Cellebrite مورد سوءاستفاده قرار گرفته بود. این نقص که با عنوان CVE-۲۰۲۴-۴۳۰۴۷ شناخته می‌شود، امکان افزایش دسترسی در دستگاه‌های اندروید را فراهم می‌کرد. کوالکام این آسیب‌پذیری را در اکتبر ۲۰۲۴ و پس از آن که پروژه‌ی صفر گوگل نقاط ضعف امنیتی بیشتری را در درایور DSP مشخص کرد، برطرف نمود.

الگوی گسترده‌تر سوءاستفاده

تحقیقات عفو بین‌الملل، سابقه‌ی نگران‌کننده‌ای از سوءاستفاده‌های نظارتی توسط مقامات صرب را نیز آشکار کرده است. آژانس اطلاعات امنیتی صربستان (BIA) از سال ۲۰۱۴ ابزارهای جاسوس‌افزاری مانند FinSpy، Predator و Pegasus را تهیه کرده است. از این ابزارها برای نظارت بر برگزارکنندگان اعتراضات، روزنامه‌نگاران و رهبران جامعه‌ی مدنی استفاده شده است.

با این حال، پلیس صربستان این اتهامات را رد و اعلام کرده که ابزارهای Cellebrite مطابق با استانداردهای جهانی استفاده می‌شوند. Cellebrite نیز از تحقیقات داخلی در مورد سوءاستفاده از فناوری خود خبر داده و تأکید کرده که نقض توافق‌نامه‌ی کاربر نهایی آن می‌تواند منجر به فسخ همکاری شود.

پیامدهایی برای حریم خصوصی و امنیت جهانی

این حادثه، پیامدهای گسترده‌ی ابزارهای نظارت تجاری در تضعیف حقوق حریم خصوصی را نشان می‌دهد. گروه‌های مدافع، از جمله عفو بین‌الملل و Access Now، از مقامات اروپایی خواسته‌اند تا اقدام علیه سوءاستفاده از چنین فناوری‌هایی را در اولویت قرار دهند. این درخواست، در میان گزارش‌های فزاینده از سوءاستفاده‌های نظارتی در سراسر جهان، از EagleMsgSpy چین گرفته تا مواردی در روسیه که از جاسوس‌افزار علیه فعالان و مخالفان استفاده شده، مطرح شده است.

هشداری برای آینده

با در دسترس‌تر شدن جاسوس‌افزارهای پیشرفته مانند نووی‌اسپای، سؤالات مهمی در مورد پاسخگویی و مقررات مطرح می‌شود. این مورد، هشداری واضح است که سوءاستفاده از فناوری نظارت می‌تواند پیامدهای جدی برای آزادی‌های مدنی داشته باشد. دولت‌ها، شرکت‌ها و جامعه‌ی مدنی باید برای ایجاد حفاظت‌های قوی که افراد را از نفوذ بی‌رویه محافظت می‌کند، همکاری کنند.

به گفته‌ی سث جنکینز از گوگل، “امنیت سایبری یک سیستم فقط به اندازه‌ی ضعیف‌ترین حلقه‌ی آن قوی است.” برای دستگاه‌های اندروید و فراتر از آن، این مورد نشان می‌دهد که چگونه آسیب‌پذیری‌ها در سخت‌افزار و نرم‌افزار می‌توانند راه را برای سوءاستفاده‌های مخرب باز کنند.

اگر به خواندن کامل این مطلب علاقه‌مندید، روی لینک مقابل کلیک کنید: the hacker news

خوشم اومد 2
خوشم نیومد 0

موضوع مورد علاقه خود را انتخاب کنید:

| | |

بدافزار گلوتون، تهدیدی جدید برای فریم‌ورک‌های PHP مانند Laravel و ThinkPHP

بدافزار گلوتون و تهدید آن برای فریم‌ورک‌های PHP
خوشم اومد 1
خوشم نیومد 0

بدافزار گلوتون، یک تهدید پیشرفته و تازه کشف‌شده است که فریم‌ورک‌های محبوب PHP مانند Laravel و ThinkPHP را هدف قرار می‌دهد. این بدافزار که به گروه Winnti مرتبط است، با سوءاستفاده از آسیب‌پذیری‌ها، اطلاعات حساس را جمع‌آوری می‌کند و با تزریق کد مخرب، امنیت سیستم‌های سازمانی را به خطر می‌اندازد. گلوتون همچنین از شبکه‌های جرایم سایبری برای گسترش فعالیت‌های خود استفاده می‌کند و به تهدیدی جهانی تبدیل شده است.

“`markdown

ظهور تهدیدی نوین: بدافزار گلوتون

متخصصان امنیت سایبری، بدافزاری پیچیده به نام گلوتون را کشف کرده‌اند. این بدافزار از نوع بک‌دور و مبتنی بر PHP است. گلوتون به طور فعال سیستم‌هایی در چین، آمریکا، کامبوج، پاکستان و آفریقای جنوبی را هدف قرار می‌دهد. این بدافزار اولین بار توسط QiAnXin XLab در آوریل ۲۰۲۴ شناسایی شد. به نظر می‌رسد گلوتون به گروه هکری چینی Winnti (یا APT41) مرتبط باشد. با این حال، برخی نکات مبهم در طراحی آن، منشأ دقیق این بدافزار را نامشخص می‌گذارد.

استراتژی پیچیده: استفاده از ابزار مجرمان سایبری علیه خودشان

یکی از نکات جالب در مورد گلوتون، استفاده‌ی هدفمند سازندگان آن از سیستم‌های درون اکوسیستم جرایم سایبری است. آنها با نفوذ به این سیستم‌ها و آلوده کردن آنها، ابزارهای مورد استفاده‌ی مجرمان سایبری را علیه خودشان به کار می‌گیرند. این نمونه‌ای بارز از “دزد از دزد می‌ترسد” است. این رویکرد، ابعاد تازه‌ای به این تهدید سایبری پیچیده می‌افزاید.

ویژگی‌ها و مکانیسم‌های حمله

گلوتون در اصل یک چارچوب بدافزار ماژولار است. این بدافزار برای انجام فعالیت‌های مخرب مختلفی طراحی شده است:

  • جمع‌آوری اطلاعات حساس: گلوتون اطلاعات سیستم را جمع‌آوری و فایل‌های سیستم را برای سوءاستفاده‌های بعدی تغییر می‌دهد.
  • تزریق کد: فریم‌ورک‌های محبوب PHP مانند Laravel، ThinkPHP، Yii و Baota (BT) را هدف قرار می‌دهد و فایل‌های PHP را با کد مخرب آلوده می‌کند.
  • استقرار بک‌دور: یک بک‌دور مبتنی بر ELF شبیه به ابزار شناخته‌شده‌ی Winnti به نام PWNLNX را مستقر می‌کند.

گمان می‌رود آلودگی اولیه از طریق آسیب‌پذیری‌های روز صفر (zero-day) و روز-N (N-day) یا حملات brute-force انجام می‌شود. همچنین، اپراتورهای این بدافزار از تاکتیکی جدید استفاده می‌کنند: تبلیغ میزبان‌های سازمانی آلوده در انجمن‌های جرایم سایبری. این میزبان‌ها از قبل با “l0ader_shell” که یک بک‌دور تزریق شده به فایل‌های PHP است، آلوده شده‌اند. این کار حملات بیشتر به مجرمان سایبری غافل را ممکن می‌سازد.

معماری ماژولار: ردپایی مخفی

زنجیره حمله گلوتون توسط چندین ماژول کلیدی پشتیبانی می‌شود:

  1. Task_loader: این ماژول اصلی، محیط اجرا را ارزیابی می‌کند و سایر اجزا را فعال می‌کند، از جمله:
  2. Init_task: بک‌دور مبتنی بر ELF را که به عنوان مدیر فرآیند FastCGI (“/lib/php-fpm”) پنهان شده است، دانلود می‌کند. همچنین کد مخرب PHP را برای اجرای payload کاشته می‌کند.
  3. Client_loader: نسخه‌ی پیشرفته‌تر init_task است. از زیرساخت شبکه به‌روز شده استفاده می‌کند و کلاینت‌های بک‌دور را مستقر می‌کند. با تغییر فایل‌های سیستم مانند “/etc/init.d/network” پایداری ایجاد می‌کند.

این بدافزار بسیار ماژولار است و می‌تواند به طور مستقل یا پیوسته اجرا شود تا یک چارچوب حمله‌ی منسجم تشکیل دهد. اجرای آن کاملاً در فرآیندهای PHP یا PHP-FPM انجام می‌شود. این امر تضمین می‌کند که هیچ payload فایل قابل ردیابی باقی نمی‌ماند. این رویکرد، ردپای قابل تشخیص آن را به میزان قابل توجهی کاهش می‌دهد.

قابلیت‌های پیشرفته بک‌دور PHP

بک‌دور PHP تعبیه شده در گلوتون یک ابزار کامل با ۲۲ دستور منحصر به فرد است. این دستورات به آن امکان می‌دهند تا:

  • اتصالات فرمان و کنترل (C2) را بین TCP و UDP تغییر دهد.
  • یک پوسته (shell) از راه دور راه‌اندازی کند.
  • فایل‌ها را دانلود و آپلود کند.
  • کد دلخواه PHP را اجرا کند.
  • عملیات مختلف فایل و دایرکتوری را انجام دهد.

این بدافزار همچنین به صورت دوره‌ای سرور C2 خود را برای دریافت و اجرای payloadهای اضافی PHP بررسی می‌کند. این امر قابلیت‌های ماژولار و سازگاری آن را افزایش می‌دهد.

نقص در اجرا: نامتعارف برای Winnti

با وجود عملکرد پیشرفته‌اش، گلوتون نقاط ضعفی دارد که برای عملیاتی مرتبط با گروه Winnti غیرمعمول است:

  • عدم رمزگذاری ارتباطات C2، و اتکا به HTTP به جای HTTPS.
  • عدم مبهم‌سازی در نمونه‌های کد.
  • تکنیک‌های پنهان‌کاری ناکافی، که عموماً از ویژگی‌های بارز کمپین‌های Winnti هستند.

این کاستی‌ها باعث شده تا محققان، پیاده‌سازی این بدافزار را “به طور غیرمعمولی ضعیف” توصیف کنند. با این حال، این موضوع از تهدید بالقوه‌ی آن، به ویژه با توجه به تمرکز غیرمعمول آن بر هدف قرار دادن زیرساخت‌های جرایم سایبری، نمی‌کاهد.

استفاده از داده‌های سرقت شده برای حملات آینده

یکی دیگر از جنبه‌های قابل توجه عملیات گلوتون، استفاده از ابزار HackBrowserData است. این ابزار، اطلاعات حساس را از سیستم‌های آلوده که توسط مجرمان سایبری اداره می‌شوند، می‌دزدد. احتمالاً از این داده‌های سرقت شده برای انجام حملات فیشینگ یا مهندسی اجتماعی در آینده استفاده خواهد شد. این امر، لایه‌ی دیگری از آینده‌نگری استراتژیک را به طراحی بدافزار اضافه می‌کند.

ارتباط با سایر تهدیدات

کشف گلوتون اندکی پس از آن صورت گرفت که QiAnXin XLab جزئیات نسخه‌ی به‌روز شده‌ای از بدافزار دیگری مرتبط با Winnti به نام Mélofée را منتشر کرد. این بک‌دور مبتنی بر لینوکس، مکانیسم‌های پایداری پیشرفته‌ای دارد و از یک درایور هسته رمزگذاری شده با RC4 برای پنهان کردن فعالیت‌های خود استفاده می‌کند. اگرچه به نظر می‌رسد Mélofée سیستم‌های با ارزش بالا را هدف قرار می‌دهد، نمونه‌های محدود آن نشان می‌دهد که استفاده از آن در مقایسه با گلوتون محدودتر است.

پیامدها برای امنیت سایبری

ظهور گلوتون، پیچیدگی فزاینده‌ی تهدیدات سایبری را نشان می‌دهد. به ویژه در نحوه‌ی سوءاستفاده از قربانیان سنتی و شبکه‌های جرایم سایبری. گلوتون با استفاده از چارچوب‌های ماژولار و استراتژی‌های حمله‌ی بازگشتی، بر نیاز به هوشیاری بیشتر در ایمن‌سازی فریم‌ورک‌های PHP و سیستم‌های مرتبط تأکید می‌کند. طراحی آن یادآوری این نکته است که حتی مجرمان سایبری نیز از تبدیل شدن به هدف مصون نیستند.

برای سازمان‌هایی که از پلتفرم‌های مبتنی بر PHP مانند Laravel یا ThinkPHP استفاده می‌کنند، اتخاذ اقدامات امنیتی قوی ضروری است. این اقدامات شامل به‌روزرسانی‌های منظم، ارزیابی آسیب‌پذیری‌ها و نظارت بر فعالیت‌های غیرمعمول می‌شود. این کار برای کاهش خطرات ناشی از تهدیدات پیچیده‌ای مانند گلوتون ضروری است.
“`

اگر به خواندن کامل این مطلب علاقه‌مندید، روی لینک مقابل کلیک کنید: the hacker news

خوشم اومد 1
خوشم نیومد 0

موضوع مورد علاقه خود را انتخاب کنید:

| | |

کودکان اوکراینی در دام جاسوسی جنگ مدرن

کودکان اوکراینی در جنگ مدرن
خوشم اومد 1
خوشم نیومد 0

سرویس امنیت فدرال روسیه (FSB) با بهره‌گیری از تاکتیک‌های جنگ مدرن، کودکان اوکراینی را برای عملیات شناسایی و سایبری به خدمت گرفته است. این کودکان، که برخی از آنها تنها ۱۵ سال دارند، با استفاده از “بازی‌های کاوشگرانه” فریب داده شده و در حملات هوایی خارکف نقش داشته‌اند. این رویکرد، نگرانی‌های جدیدی درباره تأثیر جنگ بر نسل جوان ایجاد کرده است.

سوءاستفاده از کودکان اوکراینی در عملیات جاسوسی

سرویس امنیتی اوکراین (SSU) از یک عملیات جاسوسی نگران‌کننده پرده برداشته است که ظاهراً توسط FSB روسیه سازماندهی شده است. در این عملیات، کودکان اوکراینی با وعده شرکت در “بازی‌های کاوشگرانه” به کار گرفته شده‌اند. این تاکتیک هولناک نشان می‌دهد که چگونه افراد آسیب‌پذیر درگیر پیچیدگی‌های جنگ مدرن می‌شوند.

استخدام با پوشش بازی

SSU گزارش می‌دهد که دو گروه جداگانه از عوامل FSB، متشکل از نوجوانان ۱۵ و ۱۶ ساله، پس از عملیاتی ویژه در خارکف دستگیر شده‌اند. این کودکان برای انجام ماموریت‌های شناسایی، تنظیم حملات هوایی و حتی اقدامات خرابکارانه فریب خورده بودند. هر گروه، به طور مستقل، وظایفی را بر عهده داشت که به گونه‌ای طراحی شده بود که در قالب یک بازی قرار گیرد.

“بازی‌های کاوشگرانه” شامل دریافت مختصات جغرافیایی و دستورالعمل‌هایی برای بازدید از مکان‌های خاص توسط این نوجوانان بود. پس از رسیدن به محل، آنها باید عکس و فیلم می‌گرفتند، محیط اطراف را توصیف می‌کردند و اطلاعات جمع‌آوری‌شده را از طریق پیام‌رسان‌های ناشناس ارسال می‌کردند. طبق گزارش‌ها، این اطلاعات توسط سرویس اطلاعاتی روسیه برای انجام حملات هوایی در منطقه خارکف استفاده می‌شده است.

واکنش مقامات قانونی

SSU دستگیری همه افراد درگیر در این عملیات را تایید کرده است. از جمله دستگیرشدگان، یکی از سازمان‌دهندگان اصلی است که اکنون با حبس ابد روبروست. همچنین، یک رابط مرتبط با گروه‌های FSB – یک افسر پلیس از منطقه کراسنودار روسیه – به طور غیابی و بر اساس قوانین اوکراین به دلیل اقدامات خرابکارانه در زمان حکومت نظامی متهم شده است.

این افشاگری‌ها نشان می‌دهد که بازیگران تحت حمایت دولت تا چه حد برای رسیدن به اهداف نظامی خود از کودکان در فعالیت‌های جاسوسی سوءاستفاده می‌کنند. همچنین، نقش حیاتی نیروهای امنیتی اوکراین در شناسایی و خنثی کردن چنین تهدیداتی را برجسته می‌کند.

پیامدهای گسترده‌تر برای امنیت سایبری

کشف این عملیات به فضای امنیت سایبری که پیش از این در اوکراین متشنج بود، دامن می‌زند. تیم واکنش اضطراری رایانه‌ای اوکراین (CERT-UA) اخیراً درباره حملات سایبری جدید علیه شرکت‌های دفاعی و نیروهای امنیتی در این کشور هشدار داده است. این حملات به یک گروه وابسته به روسیه با نام UAC-0185 نسبت داده شده که ماهیت چندوجهی جنگ مدرن را نشان می‌دهد؛ جایی که حوزه‌های سایبری و فیزیکی به هم پیوند می‌خورند.

هزینه انسانی جنگ مدرن

این سوءاستفاده از کودکان، روند نگران‌کننده‌ای را در درگیری‌های معاصر نشان می‌دهد: تمایل به درگیر کردن و به خطر انداختن غیرنظامیان، به ویژه کودکان، برای دستیابی به اهداف نظامی استراتژیک. این یادآوری تلخی است از اینکه چگونه جنگ فراتر از میدان‌های نبرد گسترش می‌یابد و جوامع و خانواده‌ها را عمیقاً تحت تأثیر قرار می‌دهد.

در حالی که اوکراین همچنان با تجاوز در جبهه‌های مختلف روبرو است، نیروهای امنیتی آن در مقابله با تهدیداتی که مرزهای بین جنگ سنتی و عملیات مخفی را محو می‌کنند، هوشیارند. موفقیت SSU در از بین بردن این گروه‌های جاسوسی، گواهی بر تعهد آنها به حفاظت از امنیت ملی در میان چالش‌های بی‌امان است.

نتیجه‌گیری

به کارگیری کودکان اوکراینی برای عملیات شناسایی و خرابکاری، نشان‌دهنده تشدید نگران‌کننده تاکتیک‌های جنگ است. فراتر از پیامدهای فوری، این تحول پرسش‌های مهمی را در مورد حفاظت از افراد آسیب‌پذیر در برابر سوءاستفاده در زمان جنگ مطرح می‌کند. با همگرایی استراتژی‌های سایبری و فیزیکی، تلاش‌های مداوم اوکراین برای مبارزه با این تهدیدات، بدون شک روایت گسترده‌تری از پایداری و مقاومت در جنگ مدرن را شکل خواهد داد.

اگر به خواندن کامل این مطلب علاقه‌مندید، روی لینک مقابل کلیک کنید: the hacker news

خوشم اومد 1
خوشم نیومد 0

موضوع مورد علاقه خود را انتخاب کنید:

| | |

بیش از ۳۹۰،۰۰۰ اعتبارنامه وردپرس از طریق یک مخزن مخرب در گیت‌هاب به سرقت رفت

سرقت اعتبارنامه‌های وردپرس از طریق گیت‌هاب
خوشم اومد 0
خوشم نیومد 0

یک مخزن مخرب در گیت‌هاب، که به ظاهر برای خودکارسازی انتشار مطالب وردپرس طراحی شده بود، منجر به سرقت بیش از ۳۹۰،۰۰۰ اعتبارنامه شد. این حمله که توسط گروهی با نام MUT-1244 انجام شده، بخشی از یک عملیات گسترده‌تر برای هدف قراردادن محققان امنیتی و تیم‌های تست نفوذ و سرقت اطلاعات حساس آنها است.

بررسی دقیق سرقت بیش از ۳۹۰،۰۰۰ اعتبارنامه وردپرس

محققان امنیت سایبری، یک عملیات پیچیده را کشف کرده‌اند. این عملیات، از مخازن گیت‌هاب برای سرقت بیش از ۳۹۰،۰۰۰ اعتبارنامه وردپرس سوءاستفاده می‌کرده است. گروهی به نام MUT-1244، این عملیات را سازماندهی کرده بود. اهداف این گروه، افراد مختلفی از جمله محققان امنیتی و حتی هکرها بودند. آنها داده‌های حساس را سرقت می‌کردند و از طریق پلتفرم‌های به ظاهر معتبر، بدافزار منتشر می‌کردند.

روش کار این عملیات

عملیات MUT-1244 چند مرحله‌ای بود. آنها از ایمیل‌های فیشینگ و مخازن آلوده در گیت‌هاب استفاده می‌کردند. این مخازن به ظاهر ابزارهایی برای رفع آسیب‌پذیری‌های شناخته‌شده یا خودکارسازی وظایف ارائه می‌دادند. اما در واقع، حاوی بدافزارهایی برای سرقت اطلاعات بودند.

تاکتیک‌های اصلی آنها عبارت بودند از:
مخازن تروجان در گیت‌هاب: مخازن جعلی با کدهایی ایجاد می‌شدند که ادعا می‌کردند نمونه کد (PoC) برای آسیب‌پذیری‌های شناخته شده ارائه می‌دهند. این مخازن معمولاً از تصاویر پروفایل تولید شده توسط هوش مصنوعی استفاده می‌کردند و فعالیت واقعی در آنها دیده نمی‌شد.
ایمیل‌های فیشینگ: به دانشگاهیان و متخصصان امنیتی، ایمیل‌هایی با لینک‌های آلوده ارسال می‌شد. در این ایمیل‌ها به آنها گفته می‌شد که برای به‌روزرسانی سیستم، دستوراتی را اجرا کنند.

یک مخزن مهم با آدرس “github[.]com/hpc20235/yawpp”، ابزاری برای وردپرس به نام “Yet Another WordPress Poster” را تبلیغ می‌کرد. این ابزار، ظاهراً اعتبارنامه‌ها را بررسی و از طریق XML-RPC API پست ایجاد می‌کرد. اما در واقع، کدی مخرب در یک بسته npm به نام در آن جاسازی شده بود. این بسته که در اکتبر ۲۰۲۳ منتشر شد، به مهاجمان اجازه می‌داد اعتبارنامه‌ها و سایر داده‌های حساس را سرقت کنند.

اعتبارنامه‌های دزدیده شده و پیامدهای آن

مقیاس این عملیات نگران‌کننده است. بیش از ۳۹۰،۰۰۰ اعتبارنامه وردپرس به یک حساب دراپ‌باکسِ تحت کنترل مهاجم ارسال شده است. این اعتبارنامه‌ها نه تنها از کاربران عادی، بلکه از هکرهایی که به طور غیرقانونی آنها را جمع‌آوری کرده بودند نیز سرقت شده است. این موضوع، نشان‌دهنده چرخه معیوب جرایم سایبری است که در آن حتی هکرها نیز قربانی حملات پیچیده‌تر می‌شوند.

داده‌های سرقت شده عبارتند از:
کلیدهای SSH خصوصی
کلیدهای دسترسی AWS
متغیرهای محیط سیستم
تاریخچه دستورات

انتشار گسترده بدافزار

MUT-1244 علاوه بر سرقت اعتبارنامه‌ها، از روش‌های مختلفی برای انتشار بدافزار استفاده می‌کرد:
1. فایل‌های پیکربندی درب پشتی: این فایل‌ها به مهاجمان اجازه می‌داد تا به سیستم‌های آلوده دسترسی داشته باشند.
2. PDFهای مخرب: کاربران فریب داده می‌شدند تا فایل‌های PDF آلوده را دانلود کنند. این فایل‌ها، اسکریپت‌های مخرب را اجرا می‌کردند.
3. Dropperهای پایتون: این اسکریپت‌ها برای انتقال بدافزار استفاده می‌شدند.
4. بسته‌های npm مخرب: بسته یکی از این نمونه‌ها بود. این بسته، کد مخرب را در یک کتابخانه به ظاهر بی‌خطر پنهان می‌کرد.

این بدافزار، اطلاعات حساس سیستم را جمع‌آوری و در File.io آپلود می‌کرد. این نشان می‌دهد که این عملیات در استخراج داده‌ها چقدر مؤثر بوده است.

چرا محققان امنیتی هدف اصلی بودند؟

محققان امنیتی و تیم‌های تست نفوذ، اغلب از آسیب‌پذیری‌ها و اکسپلویت‌های فاش نشده آگاه هستند. MUT-1244 با هدف قرار دادن این گروه، قصد داشت به این اطلاعات دسترسی پیدا کند. به این ترتیب، آنها می‌توانستند حملات بیشتری انجام دهند یا اکسپلویت‌های جدیدی بسازند.

گروه‌های وابسته به دولت‌ها، مانند گروه‌های مرتبط با کره شمالی، پیش از این نیز به دلایل مشابه، محققان امنیتی را هدف قرار داده‌اند. این نشان‌دهنده اهمیت بالای تحقیقات امنیت سایبری است.

ظهور مخازن PoC جعلی

این عملیات، نشان‌دهنده یک روند جدید است. مهاجمان، مخازن جعلی در گیت‌هاب ایجاد می‌کنند تا از اعتماد جامعه امنیت سایبری سوءاستفاده کنند. این مخازن از افشای آسیب‌پذیری‌ها سوءاستفاده می‌کنند و اغلب برای دسترسی به اکسپلویت‌های ادعایی، درخواست پول می‌کنند و همزمان داده‌های کاربران را سرقت می‌کنند.

برای مثال، محققان متوجه شده‌اند که برخی از این مخازن مخرب در اواخر ۲۰۲۴ ایجاد شده‌اند، همزمان با افشای آسیب‌پذیری‌های مهم. این مخازن طوری طراحی شده بودند که معتبر به نظر برسند و از پروفایل‌های جعلی و توضیحات فریبنده استفاده می‌کردند.

درس‌های آموخته شده و اقدامات حفاظتی

کشف این عملیات، اهمیت هوشیاری هنگام استفاده از پلتفرم‌های متن‌باز مانند گیت‌هاب را نشان می‌دهد. برای کاهش خطرات، کاربران باید:
اعتبار مخزن را بررسی کنند: قبل از دانلود کد، سابقه فعالیت و اعتبار صاحبان مخزن را بررسی کنند.
از کپی کردن بی‌فکرانه دستورات خودداری کنند: هنگام اجرای دستورات از منابع نامعتبر، به ویژه آنهایی که از طریق ایمیل یا لینک‌های ناشناس دریافت می‌شوند، احتیاط کنند.
از ابزارهای امنیتی استفاده کنند: قبل از اجرای کد روی سیستم خود، از ابزارهایی برای بررسی کد و شناسایی الگوهای مخرب استفاده کنند.
آگاهی خود را به‌روز نگه دارند: همیشه از آخرین تهدیدات و روش‌های مورد استفاده مهاجمان آگاه باشند.

اولین مورد نگران‌کننده: حملات به سبک ClickFix روی سیستم‌های لینوکس

یکی از جنبه‌های جدید عملیات MUT-1244، استفاده از حمله به سبک ClickFix علیه سیستم‌های لینوکس بود. به قربانیان دستور داده می‌شد تا دستورات پوسته را با بهانه‌های دروغین اجرا کنند. این، اولین نمونه ثبت شده از این نوع حمله علیه کاربران لینوکس است.

نتیجه‌گیری

مقیاس و پیچیدگی عملیات MUT-1244، روش‌های در حال تغییر مهاجمان برای سوءاستفاده از اعتماد و سرقت اطلاعات ارزشمند را نشان می‌دهد. با پیچیده‌تر شدن تهدیدات سایبری، جامعه امنیت سایبری باید هوشیار باشد و فرهنگ شک و بررسی دقیق را هنگام استفاده از ابزارها و منابع آنلاین تقویت کند.

این مورد، هشداری جدی است که حتی پلتفرم‌های معتبری مانند گیت‌هاب نیز می‌توانند به ابزاری برای حمله تبدیل شوند. این موضوع، نیاز به روش‌های امنیتی قوی در سطوح فردی و سازمانی را برجسته می‌کند.

اگر به خواندن کامل این مطلب علاقه‌مندید، روی لینک مقابل کلیک کنید: the hacker news

خوشم اومد 0
خوشم نیومد 0

موضوع مورد علاقه خود را انتخاب کنید:

| | |

یک نقص امنیتی در OpenWrt که امکان تزریق بدافزار را فراهم می‌کند

آسیب‌پذیری بحرانی در به‌روزرسانی OpenWrt
خوشم اومد 0
خوشم نیومد 0

یک آسیب‌پذیری بحرانی در قابلیت به‌روزرسانی خودکار OpenWrt (Attended Sysupgrade یا ASU) کشف شده که دستگاه‌ها را در معرض خطر نصب سیستم‌عامل‌های آلوده قرار می‌دهد. این نقص امنیتی، با شناسه CVE-2024-54143 ردیابی می‌شود و به مهاجمان اجازه می‌دهد سیستم‌عامل‌های مخرب را توزیع کنند. این موضوع تهدیدی جدی برای زنجیره تأمین نرم‌افزار محسوب می‌شود. کاربران باید در اسرع وقت سیستم خود را به‌روزرسانی کنند تا از آسیب‌های احتمالی این آسیب‌پذیری جلوگیری شود.

بررسی دقیق آسیب‌پذیری بحرانی OpenWrt

کشف یک حفره امنیتی بحرانی در قابلیت به‌روزرسانی خودکار (ASU) OpenWrt، نگرانی زیادی در جامعه امنیت سایبری ایجاد کرده است. OpenWrt یک سیستم‌عامل متن‌باز مبتنی بر لینوکس است که کاربرد فراوانی دارد. این سیستم‌عامل در روترها، دروازه‌های خانگی و دستگاه‌های دیگری که ترافیک شبکه را مدیریت می‌کنند، استفاده می‌شود. محبوبیت OpenWrt در بین کاربران متخصص و سازمان‌ها، این آسیب‌پذیری را بسیار نگران‌کننده می‌کند.

این آسیب‌پذیری با شناسه CVE-2024-54143 شناسایی شده و امتیاز خطر ۹.۳ (CVSS) را دریافت کرده است. این امتیاز بالا، شدت خطر این آسیب‌پذیری را نشان می‌دهد. محقق RyotaK از شرکت Flatt Security این مشکل را در ۴ دسامبر ۲۰۲۴ کشف کرد. بلافاصله پس از کشف، وصله‌ای در نسخه 920c8a1 ASU منتشر شد. بیایید به پیامدهای این آسیب‌پذیری و لزوم اقدام سریع بپردازیم.

شناخت آسیب‌پذیری

مشکل اصلی در قابلیت به‌روزرسانی خودکار (ASU) OpenWrt است. این قابلیت، مسئول به‌روزرسانی دستگاه‌ها با سیستم‌عامل جدید است. این قابلیت دو نقطه ضعف خطرناک دارد:

  • تزریق فرمان: این آسیب‌پذیری به مهاجمان اجازه می‌دهد تا فرمان‌های دلخواه خود را در فرآیند ساخت سیستم‌عامل وارد کنند.
  • تداخل هش: استفاده از هش SHA-256 کوتاه‌شده ۱۲ کاراکتری در درخواست ساخت، امکان تداخل هش را ایجاد می‌کند.

با سوءاستفاده از این نقاط ضعف، یک مهاجم می‌تواند:

  • فرآیند ساخت سیستم‌عامل را تغییر دهد تا یک سیستم‌عامل مخرب بسازد که با کلید قانونی OpenWrt امضا شده است.
  • از تداخل هش استفاده کند تا یک سیستم‌عامل مخرب را به جای سیستم‌عامل اصلی جا بزند.

این سوءاستفاده‌ها خطر جدی برای کاربران نهایی ایجاد می‌کند، زیرا آن‌ها به اعتبار سیستم‌عامل ارائه شده توسط OpenWrt اعتماد دارند.

خطر برای زنجیره تأمین

شاید نگران‌کننده‌ترین جنبه این آسیب‌پذیری، خطر آن برای زنجیره تأمین باشد. به‌روزرسانی‌های سیستم‌عامل برای نگهداری دستگاه‌ها ضروری هستند. این به‌روزرسانی‌ها، عملکرد دستگاه را بهبود می‌بخشند و حفره‌های امنیتی را برطرف می‌کنند. اگر مهاجمان بتوانند به این فرآیند نفوذ کنند، می‌توانند سیستم‌عامل آلوده را به کاربران بی‌خبر ارسال کنند.

این سناریو خطرناک‌تر می‌شود چون برای سوءاستفاده از این آسیب‌پذیری نیازی به احراز هویت نیست. مهاجمان با ارسال فهرست بسته‌های خاص در درخواست‌های ساخت، می‌توانند فرآیند به‌روزرسانی را مختل و مشکلات زیادی ایجاد کنند.

اقدامات انجام شده و توصیه‌ها

توسعه‌دهندگان OpenWrt با انتشار نسخه اصلاح‌شده ASU (920c8a1) به سرعت برای رفع این مشکل اقدام کردند. با این حال، هنوز مشخص نیست که آیا از این آسیب‌پذیری سوءاستفاده شده است یا خیر، زیرا گفته می‌شود “مدتی وجود داشته است”.

برای کاهش خطرات احتمالی، به کاربران اکیداً توصیه می‌شود:

  1. به‌روزرسانی به آخرین نسخه: مطمئن شوید که دستگاه شما نسخه اصلاح‌شده ASU (920c8a1 یا بالاتر) را اجرا می‌کند.
  2. تأیید صحت سیستم‌عامل: قبل از به‌روزرسانی، از صحت و اعتبار سیستم‌عامل اطمینان حاصل کنید.
  3. پیگیری اخبار: به‌طور منظم اطلاعات و اخبار OpenWrt را برای به‌روزرسانی‌ها یا توصیه‌های بیشتر دنبال کنید.

بررسی حادثه

این حادثه، پیچیدگی امنیت پروژه‌های متن‌باز را نشان می‌دهد. این پروژه‌ها در صنایع مختلف کاربرد فراوانی دارند. نرم‌افزار متن‌باز انعطاف‌پذیری و نوآوری مبتنی بر جامعه را ارائه می‌دهد. اما به روش‌های امنیتی قوی برای مقابله با آسیب‌پذیری‌ها نیاز دارد.

برای کاربران و سازمان‌هایی که از OpenWrt استفاده می‌کنند، این حادثه اهمیت به‌روزرسانی‌های به‌موقع و امنیت چندلایه را یادآوری می‌کند. با پیچیده‌تر شدن حملات به زنجیره تأمین، حفظ امنیت سیستم‌های نرم‌افزاری بسیار مهم است.

با رفع سریع این آسیب‌پذیری و انجام اقدامات پیشگیرانه، کاربران می‌توانند بدون نگرانی از مشکلات امنیتی، از OpenWrt استفاده کنند. این حادثه همچنین نقش ارزشمند محققان امنیتی را در حفاظت از پروژه‌های متن‌باز نشان می‌دهد. این محققان با شناسایی و گزارش مسئولانه آسیب‌پذیری‌ها، به امنیت این پروژه‌ها کمک می‌کنند.

اگر به خواندن کامل این مطلب علاقه‌مندید، روی لینک مقابل کلیک کنید: the hacker news

خوشم اومد 0
خوشم نیومد 0

موضوع مورد علاقه خود را انتخاب کنید:

| | | |